Internet Access Server CelerAccess CA-300

Это все-таки произошло… Покрылся бэдами винчестер на машине, которая обеспечивала доступ в Интернет всей конторы, служила почтовым и news-сервером, а также по совместительству выполняла функции вторичного DNS. Работало все это хозяйство под FreeBSD. После неприятности с винтом BSD смогла только наполовину загрузиться, истерически выкрикнуть о неустранимых ошибках файловой системы и умереть окончательно.

Интернета нет. Почта и news не ходит. Народ волнуется. Надо что-то делать, причем быстро. Вариант с разворотом какого-нибудь продукта имени Майкрософта отпал сразу по причине, во-первых, ресурсоемкости, а во-вторых, слабого доверия к надежности вместе с устойчивостью (для справки: умершая машина была 486DX2-66 с 16М RAM и винтом Samsung (да-да!) IDE 420М. Видеокарта - старый добрый Trident ISA, сетевая карта SuperLAN ne2000 ISA 10Base-T. Ни монитора, ни клавиатуры. Интернетовский канал обеспечивал 900MHz-радиомодем (на базе внешнего модема GVC 33600) производства фирмы "Вектор". Так что хочешь - не хочешь, а кроме какого-нибудь "фрюникса" (Linux, FreeBSD) вариантов, в общем-то, и не наблюдалось. Я лично не считаю себя мощным юниксоидом и могу с достаточной точностью представить, сколько времени займет у меня развертывание UNIX-машины: минимум 2 дня. Поэтому я решил запустить пока что-нибудь совсем простое, ишь бы связь была. А сам тем временем безо всякой горячки настроил бы полноценный сервер.

Сказано - сделано. Имеющаяся у меня демонстрационная версия IPRoute/Secure for DOS в свое время неплохо проявила себя при доступе dial-up, но в этом случае не смогла договориться с машиной провайдера на противоположной стороне канала. Добрые люди помогли стянуть Linux-роутеры (каждый - обьемом в одну 3.5" дискету) Ballantain и Freesco. Мой провайдер предложил использовать PicoBSD - аналогичный по возможностям. Так что у меня был большой выбор. Но уже упоминавшаяся ранее фирма "Вектор" предложила другой путь.

CelerAccess CA-300

Internet Access Server производства корпорации Argus Technologies (http://www.arguscorp.com/). При первом взгляде - сплошное разочарование: коробочка размером с пачку сигарет (см.фото ниже), с одной стороны - разьем RS-232C, с другой - RJ45 для 10Base-T. Характеристики, расписанные в руководстве, тоже не добавили оптимизма: ну как в ЭТОМ может поместиться TCP/IP, PPP, аутентификация PAP/CHAP, DHCP-сервер, Dial-On-Demand, NAT/Firewall, да еще и какой-то Virtual Server?! Как еще не ухитрились блок питания вовнутрь впихнуть… Да еще оказалось, что помимо одномодемной версии (CA-300) существует еще и двух- (СА-320) и четырехмодемная (СА-340) - тех же габаритов! Тем не менее мне стало ОЧЕНЬ интересно посмотреть на это чудо враждебной техники поближе, и фирма "Вектор" любезно пошла мне навстречу. Правда, под залог :)

По дороге в родную контору я, естественно, напряженно изучал инструкцию (местами напоминающую комикс). Характеристики приводились такие:

• Процессор 80188, 25 МГц
• Ethernet-контроллер 10Мбит
• Контроллер UART 256K
• RAM, 256K Flash
• Один порт LAN - RJ45
• Один порт WAN - DB-25
• Протокол WAN: Асинхронный PPP
• Скорость порта WAN: До 460(!) килобит/сек.
• Совместимость с клиентами: Windows 95/NT, Windows 3.x, Mac, Unix, Sun Microsystems, etc…
• Протоколы: TCP/IP, NAT, DHCP, PAP/CHAP
• Питание: 7.5В, 500 мА
• Габариты: 8.8 см (длина), 6.0 см (ширина), 2.3 см (высота)
• Гарантия: Пожизненная

В комплект поставки входит:

• Собственно CelerAccess
• Две дискеты с управляющим софтом (в моем случае - один CD, вместивший также и электронную версию документации в формате doc, а также Mail Server Lite, позволяющий разделить один почтовый ящик для пяти пользователей)
• Руководство пользователя - одна штука
• Конфигурационный кабель
• Блок питания

На нижней поверхности под крышкой находятся два переключателя - для перевода устройства из рабочего режима в режим настройки (и назад, разумеется). Я так понял, что два переключателя обеспечивают минимальную "дуракоустойчивость".

Настройка может производиться тремя способами: через сеть (с помощью пакета Device Manager), через терминал (с помощью конфигурационного кабеля, который суть нуль-модем), а для особо безграмотных (или робких) - удаленно, через модем (так же, как при использовании конфигурационного кабеля).

Теперь - подробнее о встроенных возможностях сервера и о его настройке

При настройке сервера в первую очередь требуется указать IP-адрес интерфейса Ethernet и маску подсети (внутренней). Затем нужно указать внешний IP-адрес, "предоставленный провайдером" - для модемного интерфейса. Если же провайдер назначает адрес динамически, нужно указать в качестве адреса 0.0.0.0. Потом указывается адрес DNS-сервера провайдера.

Потом необходимо настроить параметры для дозвона: скорость порта, управляющие строки для модема, номер телефона провайдера, имя и пароль пользователя (если не используется сценарий подключения) или отредактировать сценарий подключения - если используется.

Затем неплохо бы установить политику, в соответствии с которой сервер будет соединяться с провайдером. Первый вариант - соединение по требованию (Dial-On-Demand): когда сервер получает пакет, который адресован наружу, он инициирует дозвон и установление соединения. Если после этого в течение заданного временного интервала сервер не будет получать никаких пакетов, то связь будет разорвана. Второй вариант - автодозвон при включении сервера. Но в случае разрыва связи по таймауту сервер ведет себя так же, как и в первом случае - если возможность разрыва связи не отключена. И третий вариант - сервер ожидает звонка от провайдера или клиента: Dial-in. Если же в поле callback указать номер телефона, сервер, дождавшись звонка, разрывает связь и перезванивает сам по указанному номеру телефона.

Встроенная служба DHCP позволяет автоматически назначать клиентам IP-адреса из заданного диапазона. Можно также зарезервировать конкретные IP-адреса для конкретных клиентов, но для этого нужно знать соответствующие MAC-адреса. Всего можно зарезервировать 16 IP-адресов.

Встроенная служба Virtual Server довольно интересна. Она позволяет отобразить конкретный реальный IP-адрес и порт на определенный внутренний адрес и порт.

Если в сети несколько маршрутизаторов, может потребоваться изменить встроенную таблицу маршрутизации. Можно указать 16 маршрутов. Можно также задать сетевое имя сервера и пароль для доступа к конфигурации.

Встроенный брандмауэр - великая вещь для сетевого админа: он не столько защищает от проникновения в сеть "злобных хацкеров", сколько не разрешает пользователям использовать конкретные службы Интернета (mail, web, ftp, news, telnet). Для каждой службы можно установить одно из трех правил: разрешить доступ всем пользователям, запретить доступ всем пользователям и разрешить доступ определенным пользователям (которых нужно указать в соответствующем списке), точнее, сетевым адаптерам с определенными MAC-адресами.

Преисполнившись скепсису по поводу возможности настройки через локалку свежеподключенного устройства, я воспользовался конфигурационным кабелем и HyperTerminal. Примерно через 20 секунд я увидел богатейшее меню из 3 пунктов - настройка, обновление прошивки и диагностика. Зашел в настройку (меню оказалось уже побогаче), проставил нужные параметры и сохранил их. После чего подключил устройство к модему (напрямую, естественно, без всяких кабелей) и к сети. И включил. Меньше чем через минуту связь была установлена!

Затем я установил управляющий софт - Net_Device Manager. В меню Programs образовалась соответствующая группа с тремя программами: Net_Device Manager (основная конфигурационная программа), Net_Device Wizard (упрощенный конфигуратор), Net_Device Monitor (наблюдение за работой устройства). Сразу после установки запустился Net_Device Wizard с целью Quick Setup, но был жестоко закрыт за ненадобностью. Попутно обнаружилось, что запуск любого конфигуратора вызывает обрыв связи, что, в принципе, логично. Тем более, что он честно предупреждал. Но непонятна логика такого же поступка со стороны Net_Device Monitor.

Однако, когда мне удалось скачать и установить свежую версию (5.8) пакета, я обнаружил существенные изменения к лучшему. Монитор уже не грузит процессор так сильно, исправлены баги с отображением информации в информационных окнах, добавлена возможность ведения статистики и возможность проставлять хостам имена. В Device Manager'е в настройках брандмауэра добавлена возможность фильтрации трафика ICMP, а также возможность вручную задавать произвольные службы.

Здесь не лишне будет сделать некоторые уточнения и дополнения. У нашей фирмы есть некоторое количество реальных IP-адресов. Некоторое, но недостаточное, поэтому существует сеть с fake-адресами типа 10.0.0.0. Корпоративная политика такова, что весь трафик из fake-сети проходит через прокси-сервера. Трансляция адресов не используется принципиально. Кроме того, у нас развернута довольно обширная инфраструктура интранет-служб. И самое главное: испортившийся PC-роутер использовал всего один IP-адрес как для интерфейса локальной сети, так и для ppp-подключения.

Предварительная настройка CA-300 была сделана так: внешний адрес (ppp) и внутренний адрес (Ethernet) были установлены одинаковыми (как и раньше), маска подсети могла быть назначена только интерфейсу Ethernet, в качестве DNS был указан сервер провайдера, служба DHCP была отключена (так как у нас уже есть DHCP-сервер), внутренняя таблица маршрутов AC-300 оставлена без изменений, служба Virtual Server была отключена за ненадобностью, пользователям было запрещено пользоваться службами news и telnet. Установка связи - по включению сервера, разрыв связи по таймауту запрещен.

Прошло примерно 20 часов. Как всякий нормальный админ, я появился в контору вовремя - к обеду. И тут же пожалел, что под рукой не было вилки: что мне только не пришлось отбрасывать с ушей! И то не так, и это не эдак, и вообще связи нет, и тому подобное. А не пойти ли мне посмотреть поближе, спросил я у себя - достанут же ж.. И ответил сам себе: а пойти, ибо нефик. И пошел. Вы не поверите, что я увидел. Связь лежала. Совсем. И похоже, что со вчерашнего дня.

"Вот …" - сказал я себе. Оглянулся вокруг, тщательно подумал - и повторил погромче. И неоднократно. Не помогло. Тогда я запустил Net_Device Monitor - посмотреть, что ж случилось. И в окне состояния увидел процесс установки связи. Странно, подумал я. Это что ж, получается, без запущенного монитора мы работать отказываемся!? Что меня не очень обрадовало: Net_Device Monitor вел себя, как 16-разрядное приложение, и в запущенном состоянии вызывал загрузку процессора моей рабочей станции (живущей под WinNT 4.0 SP3+PSP) под 90%. Но эксперимент есть эксперимент, и я, "скрипя сердцем", не стал его останавливать.

Дальнейшие наблюдения показали, что примерно каждые 20 минут сервер "забывал" свой внешний IP-адрес, после чего еще минут через 20 рвал связь и (при запущенном мониторе) пересвязывался заново.

Попутно выяснилось, что трансляция адресов (известная также как NAT или IP Masquerading) - неотключаемая! Неприятное наблюдение: провайдерский прокси-сервер, который был в каскаде с нашим конторским, "знал" только его адрес, но не адрес роутера! А теперь вся наша сеть выглядела, как один роутер. Это вылечилось достаточно просто: провайдер пошел навстречу и добавил в список еще один адрес. Но неприятный осадок остался…

На всякий случай я все-таки назначил роутеру разные адреса для разных интерфейсов. Разрывы связи прекратились.

Теперь - насчет производительности. Вообще-то CA-300 поддерживает работу 253 клиентов, но производитель ненавязчиво рекомендовал не более 32. И тут я с ним согласился: действительно, наши 30 рабочих станций с возможностью выхода в Интернет + интранет-службы типа почтового и DNS-серверов нагрузили роутер очень лихо. Задержки (иногда больше 5 секунд) были заметны, так сказать, невооруженным глазом.

Резюме

Естественно, это всего лишь мое собственное мнение, и не более того. Для своей цены (примерно $220) - очень неплохое приобретение. Но! Исключительно для обслуживания сети, состоящей максимум из 10-15 компьютеров, имеющей только одно dial-up подключение и один аккаунт у провайдера. Либо его можно использовать в качестве dial-in сервера - если уж очень захочется использовать постоянный конторский Интернет-канал для доступа из дому. Между прочим, корпорация Argus Technology занимает лидирующее положение в мире по производству коммуникационного оборудования, ориентированного на рынок устройств для SOHO.

А в качестве маршрутизатора, обеспечивающего постоянное соединение по выделенной линии для средней или большой сети лучше подыскать что-нибудь подороже и помощнее. Я вот давно присматриваюсь к семейству маршрутизаторов Prestige фирмы ZyXEL…

Пользуясь случаем, хочу выразить фирме "Вектор" (Харьков) огромную благодарность за своевременно оказанную помощь.